Краткий обзор основных инцидентов в области промышленной кибербезопасности за четвертый квартал 2024 года

В четвертом квартале 2024 года жертвами было публично подтверждено 107 инцидентов. Все эти инциденты включены в таблицу в конце обзора, а некоторые из них описаны подробно.

Краткая информация

• По меньшей мере половина жертв (50%) столкнулась с атаками вымогателей.
• В 12% случаев жертвы сообщили о нарушении операционной деятельности, а в 19% — об отказе ИТ-систем в результате инцидента.
• Страны с наибольшим количеством зарегистрированных инцидентов:
  • США: 81% (87 инцидентов)
  • Германия: 6% (7 инцидентов)
  • Япония: 4% (4 инцидента)
• В этом квартале зафиксированы инциденты в нескольких странах, где подобные случаи нечасто подтверждают публично: в Коста-Рике, Люксембурге, Латвии, Буркина-Фасо и Пакистане.

• Особое внимание хотелось бы обратить на следующее:
  • Мы знаем, что кибератаки наносят ущерб бизнесу. В сочетании с другими проблемами киберинцидент может подтолкнуть руководство компании к решению объявить о ее неплатежеспособности. В этом квартале было два таких объявления — оба были сделаны производственными компаниями (одна из Германии, другая из США).
  • Кибератаки на ключевых поставщиков технологий или материалов потенциально могут иметь разрушительные последствия для всего сектора. В одном из таких случаев команда по реагированию на инциденты заявила, что ей удалось минимизировать последствия атаки и предотвратить масштабную катастрофу.
  • Значительные ресурсы, выделенные на обеспечение кибербезопасности, не всегда означают, что можно спать спокойно. В этом квартале по меньшей мере три крупные международные компании подтвердили факт компрометации, что доказывает: никто не защищен на 100%.
  • По меньшей мере три организации, связанные с критической инфраструктурой, столкнулись с отказом внутренних и публичных сервисов в результате атаки. В одном из случаев коммунальная компания была вынуждена перейти на ручное управление.
  • Атака на поставщика продуктов и услуг в сфере управления автопарком привела к отказам в обслуживании, затронувшим его клиентов, один из которых — британское подразделение DHL.
  • Результатом атаки на компанию общественного транспорта в Питтсбурге стали задержки поездов и сбои в работе некоторых цифровых сервисов для пассажиров.
  • В двух случаях сразу две группы злоумышленников взяли на себя ответственность за одну и ту же атаку с применением программ-вымогателей.
• Полный список инцидентов, подтвержденных жертвами в четвертом квартале 2024 года, приведен в Приложении.

Атаки, приведшие к объявлению о неплатежеспособности

Kreisel

Производственный сектор | Нарушение операционной деятельности, неплатежеспособность | Шифровальщики

Немецкая компания Kreisel GmbH & Co., специализирующаяся на производстве оборудования для работы с сыпучими материалами, 19 ноября 2024 года подала заявление о несостоятельности. Текущие финансовые трудности компании в первую очередь связаны с ростом расходов и снижением доходов из-за последствий пандемии COVID-19, увеличением цен на сырье и энергоносители, а также с кибератакой, произошедшей в феврале 2024 года. Из-за атаки операционная деятельность компании была значительно ограничена в течение нескольких недель. По сведениям немецкой прессы, компания получила по факсу письмо от вымогателей, но отказалась платить выкуп. Никаких подробностей об атаке, включая имя взявшей ответственность за нее группы, не поступало.

Stoli Group

Производственный сектор, пищевая промышленность | Нарушение операционной деятельности, отказ ИТ-сервисов, утечка данных, банкротство | Шифровальщики

Американские дочерние компании люксембургского производителя водки Stoli Group — Stoli Group USA и Kentucky Owl — 29 ноября 2024 года подали заявление о несостоятельности в соответствии с Главой 11 Кодекса о банкротстве США. Это случилось спустя несколько месяцев после кибератаки вымогателей, которая привела к сбоям в работе компаний. В августе 2024 года произошли серьезные сбои в работе ИТ-инфраструктуры Stoli Group в результате утечки данных и атаки. Атака привела к значительным проблемам в работе всех подразделений Stoli Group, включая Stoli USA и Kentucky Owl, так как корпоративная система управления ресурсами предприятия была отключена, и большинство внутренних процессов компании, включая бухгалтерский учет, пришлось выполнять вручную. Согласно заявлению, полное восстановление этих систем ожидалось не ранее первого квартала 2025 года, а кибератака стала одной из нескольких причин, побудивших компании искать защиту от кредиторов. Кроме того, инцидент не позволил американским подразделениям Stoli Group предоставить финансовые отчеты кредиторам.

Наиболее серьезные последствия, предотвращенные командами по реагированию на инциденты

TetraSoft

Энергетика, горнодобывающая промышленность | Нарушение операционной деятельности, отказ сервисов, атака на цепочку поставок / доверенного партнера

В этом квартале была обнаружена и предотвращена целенаправленная кибератака на российскую компанию TetraSoft, занимающуюся удаленным мониторингом добычи углеводородов и бурения скважин. Специалисты экспертного центра безопасности Positive Technologies провели расследование инцидента и реагирование на него, не допустив его влияния на российскую добывающую отрасль. Инцидент был классифицирован как атака на цепочку поставок, направленная против добывающей отрасли. Если бы эта атака достигла своей цели, она могла бы привести к перебоям в поставках углеводородов по внутренним и международным контрактам. В ходе расследования было установлено, что первоначальное проникновение произошло в июле 2024 года, а первые действия атакующих в системах были зафиксированы в конце сентября — начале октября. Атака осуществлялась с использованием утилит удаленного доступа и управления серверами. Прямой ущерб от простоя TetraSoft оценивается более чем в 65 млн рублей, а затраты на восстановление внутренних сервисов уже превысили 25 млн рублей. При этом в компании не считают эту сумму окончательной.

Инциденты в крупных организациях

Schneider Electric

Энергетика, производственный сектор | Утечка персональных данных | Шифровальщики

Французский производитель энергетического оборудования и оборудования для промышленной автоматизации Schneider Electric 4 ноября подтвердил факт кибератаки, связанной с несанкционированным доступом к одной из внутренних платформ компании для управления проектами, размещенной в изолированной среде. Заявление было сделано после утверждения группы злоумышленников Grep (Hellcat) о краже 40 Гб данных и выдвижения ими требований о выкупе. Schneider Electric инициировала расследование инцидента и провела аудит своих внутренних платформ. Компания заявила, что ее продукция и услуги не пострадали. В разговоре с изданием BleepingComputer представители Grep сообщили, что получили доступ к серверу Jira компании Schneider Electric, использовав скомпрометированные учетные данные. По их словам, после проникновения в систему они использовали MiniOrange REST API для сбора 400 000 строк пользовательских данных, среди которых 75 000 уникальных адресов электронной почты и полные имена сотрудников и клиентов Schneider Electric.

Medion

Производственный сектор, электронная промышленность | Нарушение операционной деятельности, отказ ИТ-систем, утечка данных | Шифровальщики

Немецкий поставщик электроники Medion AG (дочерняя компания китайской технологической корпорации Lenovo) стал жертвой кибератаки. Группа вымогателей Black Basta взяла на себя ответственность за атаку на Medion AG 18 декабря. По заявлению злоумышленников, опубликованному на их сайте, посвященном утечке данных, им удалось похитить около 1,5 Тб информации, включая финансовую и бухгалтерскую документацию, файлы проектов, данные разработки, а также персональные данные сотрудников. Первоначально Medion AG подтвердила факт инцидента ИТ-безопасности, вызванного действиями неизвестных внешних злоумышленников, опубликовав 28 ноября заявление, однако позже удалила его. В заявлении говорилось, что от атаки частично пострадали внутренние системы и розничные операции. Компания привлекла внешних специалистов для устранения последствий инцидента и выяснения его причин. Она поддерживала тесный контакт с соответствующими органами, однако связь с ней была возможна только в ограниченном объеме по телефону, а обрабатывать письменные запросы компания не имела возможности. 20 декабря Medion AG направила заявление редакции Golem.de, в котором сообщила, что 26 ноября столкнулась со сбоями в ИТ-системах, вызванными атакой программы-вымогателя, из-за которой в течение нескольких дней наблюдались проблемы в работе части внутренних систем и розничных магазинов.

Федеральное управление уголовной полиции Германии (BKA) и прокуратура Кельна вели расследование инцидента. Было установлено, что группа киберпреступников проникла в часть ИТ-систем Medion AG и похитила данные компании. Часть украденной информации была опубликована в даркнете, однако, согласно заявлению компании, там не было персональных данных клиентов. 20 декабря Medion AG разместила на своем сайте заявление о том, что ее ИТ-системы полностью восстановлены после сбоя, она вновь доступна по телефону, а письменные запросы снова будут обрабатываться. В то же время компания предупредила о возможных задержках в доставке заказов.

Casio

Производственный сектор, электронная промышленность | Утечка данных, утечка персональных данных, отказ сервисов, отказ ИТ-систем | Шифровальщики

Японский производитель электронных устройств Casio Computer Co., Ltd. подтвердил атаку вымогателей, в результате которой злоумышленники получили доступ к сети компании, нарушили работу ее систем и некоторых клиентских сервисов. Инцидент произошел 5 октября, компания сразу же сообщила о нем в соответствующие органы и привлекла экспертов по кибербезопасности для проведения расследования. Casio Computer Co., Ltd. приняла меры по укреплению своей безопасности и защите клиентских данных, а также обязалась улучшить протоколы безопасности для предотвращения подобных инцидентов в будущем. Согласно заявлению компании, злоумышленники, вероятно, получили доступ к персональным данным сотрудников, подрядчиков, деловых партнеров и соискателей, проходивших собеседования, а также к некоторой технической и конфиденциальной информации, включающей счета-фактуры и кадровые документы. Об этом Casio Computer Co., Ltd. уведомила Комиссию по защите личной информации. В обновлении от 21 октября компания сообщила, что из-за атаки возникли значительные задержки в доставке запчастей, а выполнение многих заказов было и вовсе отложено. Casio Computer Co., Ltd. приостановила прием заявок на ремонт персональных устройств и планировала возобновить полноценную работу к концу ноября.

Атаки на объекты критической инфраструктуры

Brazil Saneamento Básico do Estado de São Paulo

Водоснабжение, коммунальные услуги | Отказ ИТ-систем и сервисов | Шифровальщики

Бразильская коммунальная компания Saneamento Básico do Estado de São Paulo (Sabesp), обеспечивающая водоснабжение и очистку сточных вод в штате Сан-Паулу, стала жертвой кибератаки, что было подтверждено в письме CISO Advisor Brazil от 22 октября. В заявлении компании отмечается, что она незамедлительно приняла необходимые меры по обеспечению безопасности и контролю, а также реализовала план восстановления затронутых систем. Компрометации персональных данных выявлено не было. Системы водоснабжения, сбора и очистки сточных вод также не пострадали. Sabesp приложила все усилия для восстановления целостности своей цифровой сети, при этом предупредила о возможных задержках в обслуживании из-за нестабильности системы.

Согласно информации, опубликованной на сайте профсоюза работников санитарных служб Сан-Паулу (Sintaema), 17 октября у Sabesp возникли проблемы с доступом в интернет. В руководстве Sintaema пояснили, что с тех пор работала только система управления резервуарами, а доступ сотрудников к другим системам был возможен только через мобильные устройства или внешние сети. Даже государственный сервис Poupatempo, предоставляющий более 400 различных услуг, связанных с оформлением официальных документов, был недоступен в течение пяти дней из-за сбоя, который затронул все подразделения Sabesp по всей стране. Группа вымогателей RansomHouse взяла на себя ответственность за атаку.

Refinadora Costarricense de Petróleo

Энергетика, коммунальные услуги | Нарушение операционной деятельности, отказ сервисов | Шифровальщики

Коста-риканская энергетическая компания Refinadora Costarricense de Petróleo (RECOPE) 27 ноября подтвердила, что стала жертвой атаки вымогателей, из-за которой ей пришлось перейти на ручное управление своими системами, но заверила общественность, что инцидент не скажется на поставках топлива. Компания сообщила, что из-за атаки были отключены все цифровые системы, используемые для проведения платежей, поэтому осуществлять продажу топлива пришлось в ручном режиме. 27 ноября работа нефтеналивных терминалов была продлена до поздней ночи, а на следующий день она осуществлялась в расширенном режиме. RECOPE заявила, что работает совместно с Министерством науки, инноваций, технологий и телекоммуникаций (MICITT) Коста-Рики для устранения последствий атаки. 29 ноября президент RECOPE сообщила, что в День благодарения (28 ноября) в компанию прибыли специалисты по кибербезопасности из США, которые помогли постепенно восстановить некоторые системы. Однако руководство подчеркнуло, что компания продолжит использовать ручное управление до тех пор, пока не будет полностью гарантирована безопасность технологических процессов. Компания столкнулась с резким ростом спроса на топливо из-за опасений по поводу возможного дефицита газа и нефти. В течение выходных RECOPE расширила часы работы, чтобы обеспечить бесперебойную продажу топлива. 30 ноября компания объявила о стабилизации работы терминалов и гарантированном наличии топлива. Совместная работа RECOPE, MICITT, международных экспертов и Управления разведки и безопасности продолжалась для окончательного устранения последствий атаки. Группировка RansomHub взяла на себя ответственность за кибератаку на RECOPE.

Electrica Group

Энергетика, коммунальные услуги | Отказ сервисов | Шифровальщики

Румынская электрораспределительная компания Electrica Group 9 декабря объявила, что подверглась кибератаке, и заявила, что работает в тесном сотрудничестве с национальными органами по кибербезопасности для управления инцидентом и его разрешения. Компания подчеркнула, что ее критически важные системы не пострадали, а возможные сбои в обслуживании клиентов связаны с мерами по защите внутренней инфраструктуры. В соответствии с внутренними процедурами и действующими нормативными требованиями были активированы все необходимые протоколы реагирования. Министр энергетики Румынии сообщил в интервью местному новостному ресурсу, что компания подверглась атаке вымогателей, однако ее автоматизированные системы управления (SCADA) не пострадали. 11 декабря Национальное управление кибербезопасности Румынии (DNSC) заявило, что за атакой стоит группа вымогателей Lynx. По данным DNSC, критически важные системы энергоснабжения работали в штатном режиме. Чтобы помочь службам безопасности других компаний обнаружить возможные признаки компрометации в своих сетях, DNSC опубликовало правила YARA и индикаторы компрометации.

Центр интернет-безопасности опубликовал отчет о растущей угрозе подобных атак на организации, работающие в сфере коммунальных услуг, причем особое внимание в документе было уделено деятельности группы вымогателей Lynx (отслеживаемой Microsoft как Storm-2113), а также приведены индикаторы компрометации, связанные с ее атаками.

Другие крупные инциденты, представляющие интерес

Microlise

Транспорт, логистика | Отказ ИТ-систем, отказ сервисов | Шифровальщики

Британская компания Microlise, поставщик решений в области телематики и управления автопарком, пострадала от кибератаки, которая привела к сбоям в доставке службой DHL товаров для ритейлера NISA. По сообщению NISA, в результате атаки были полностью удалены данные с серверов, обслуживающих систему отслеживания поставок DHL. Представитель логистической компании подтвердил факт инцидента, но уточнил, что собственные системы DHL не пострадали. NISA пояснила, что из-за кибератаки у DHL не было возможности отслеживать статус своих доставок. Издание Motor Transport сообщило, что атака затронула и другие компании, но ни одна из них, включая организации, использующие программное обеспечение Microlise, не дала комментариев. По данным Financial Times, транспортная компания Serco, обеспечивающая перевозку заключенных для Министерства юстиции Великобритании, также пострадала от атаки: были отключены системы отслеживания транспортных средств, тревожные сигналы, навигация и уведомления о предполагаемом времени прибытия. В заявлении, поданном на Лондонскую фондовую биржу 31 октября, Microlise сообщила, что обнаружила несанкционированную активность в своих сетях, которая привела к сбоям в работе и отключению значительной части ее сервисов. В обновленном заявлении от 18 ноября компания подтвердила, что уведомила международные органы о факте хищения корпоративных данных из головного офиса и продолжает сотрудничество с правоохранительными органами в связи с инцидентом. При этом компания подчеркнула, что никакие данные клиентских систем не были скомпрометированы. Ответственность за атаку на Microlise взяла на себя группа вымогателей SafePay.

Pittsburgh Regional Transit

Транспорт | Нарушение операционной деятельности, отказ сервисов, утечка персональных данных | Шифровальщики

Компания Pittsburgh Regional Transit (PRT) организовала расследование атаки вымогателей, которая была обнаружена 19 декабря и вызвала сбои в работе общественного транспорта. Временные перебои затронули рельсовый транспорт, но в целом транспортные службы работали в штатном режиме. Атака негативно повлияла на пассажирские сервисы, в том числе работу Центра обслуживания клиентов PRT, который временно не мог принимать и обрабатывать проездные пенсионеров и детей. По данным местных СМИ, из-за атаки поезда задерживались более чем на 20 минут. В ходе расследования инцидента выяснилось, что злоумышленники могли получить доступ к персональным данным, включая номера социального страхования и водительских удостоверений как соискателей, так и бывших и действующих сотрудников компании. К расследованию инцидента и реагированию на него были привлечены правоохранительные органы и специалисты по кибербезопасности.

Инциденты, в которых ответственность за атаку взяли на себя сразу две группы

Nidec

Производственный сектор | Утечка данных, утечка персональных данных | Шифровальщики

Японский производитель электродвигателей Nidec подтвердил, что в результате атаки вымогателей в августе 2024 года были похищены различные коммерческие и внутренние документы. Согласно заявлениям компании, опубликованным на ее веб-сайте, инцидент затронул ее вьетнамское подразделение Nidec Precision (NPCV) и был обнаружен после того, как злоумышленники связались с Nidec и потребовали выкуп. Атака была ограничена сетью NPCV и не привела к компрометации других подразделений организации. По данным компании, злоумышленники похитили у NPCV в общей сложности 50 694 файла, включая внутреннюю документацию, связанную с «зелеными» закупками, охраной труда, политиками компании, ее коммерческими операциями, а также переписку с деловыми партнерами. В Nidec отметили, что проникновение скорее всего произошло после того, как атакующие скомпрометировали учетные данные общего доменного аккаунта NPCV, используя их, вошли на сервер и получили доступ к файлам, разрешенным для данного аккаунта. В ответ на атаку Nidec и ее дочерние компании провели тщательное расследование, пересмотрели права доступа к серверам и сменили пароли. Кроме того, NPCV приостановила использование VPN-приложения, которое, предположительно, использовали злоумышленники. В сентябре 2024 года NPCV подала уведомление об инциденте в Департамент кибербезопасности и предотвращения преступлений в сфере высоких технологий Министерства общественной безопасности Вьетнама в соответствии с Законом о защите персональных данных.

Сразу две группы вымогателей включили компанию в свои списки жертв на сайтах, посвященных утечке данных: 8base — в июне, а Everest — в августе. В уведомлении Nidec об инциденте содержится предположение, что за атакой стоит группа Everest, так как эта группа в начале августа выложила в сеть якобы похищенные у компании данные.

CR&R

Производственный сектор, переработка отходов | Отказ ИТ-систем, Утечка персональных данных | Шифровальщики

Американская компания CR&R Inc., занимающаяся сбором и переработкой отходов, уведомила генеральных прокуроров штатов Мэн и Вермонт о том, что столкнулась с нарушением безопасности данных, в результате чего в руки злоумышленников могли попасть конфиденциальные персональные данные, хранившиеся в системах компании. Согласно уведомлению, примерно 13 декабря 2022 года компания столкнулась с сетевым сбоем, затронувшим некоторые системы. CR&R Inc. начала расследование, которое было завершено 30 октября 2024 года. Компания подтвердила, что неавторизованные сторонние лица могли получить несанкционированный доступ к конфиденциальной информации в ее системах в ходе инцидента, произошедшего 19 октября 2022 года. В связи с этим CR&R Inc. приступила к анализу данных, чтобы определить масштабы утечки и выявить пострадавших от нее лиц. Компания не раскрыла конкретный характер скомпрометированных персональных данных. 26 декабря 2024 года она разослала уведомления о нарушении безопасности данных пострадавшим. Группа вымогателей Vice Society взяла на себя ответственность за атаку на CR&R Inc. 6 ноября 2022 года. Спустя месяц, в декабре 2022 года группа вымогателей BlackCat/ALPHV также включила компанию в список своих жертв.

Атаки, которые привели к нарушению операционной деятельности

Hubergroup

Производственный сектор | Нарушение операционной деятельности, отказ ИТ-систем и сервисов

Немецкий производитель красок для печати Hubergroup стал жертвой кибератаки. По сообщениям местных СМИ, операционная деятельность и производство, а также доступ в интернет в компании были ограничены почти на две недели. Hubergroup подтвердила факт инцидента в СМИ, хотя конкретные последствия остались неизвестными. Представитель компании заявил, что атака затронула отдельные региональные ИТ-системы, подчеркнув, что системы безопасности компании незамедлительно отреагировали на угрозу. Благодаря этим мерам атака не коснулась значительной части подразделений Hubergroup в других странах. Пострадавшие системы были временно изолированы, чтобы предотвратить дальнейшее распространение атаки. ИТ-команда компании тесно взаимодействовала с внешними экспертами по кибербезопасности, чтобы как можно быстрее восстановить региональные системы. Сразу после атаки клиенты и сотрудники были проинформированы о возможных временных ограничениях в работе и кратковременных задержках в производстве и доставке.

Artivion

Производственный сектор | Нарушение операционной деятельности, отказ сервисов, утечка данных

Американский производитель медицинского оборудования Artivion, Inc. 9 декабря сообщил об инциденте с безопасностью данных, подав отчет по форме 8-К в Комиссию по ценным бумагам и биржам США. Инцидент произошел 21 ноября и касался получения несанкционированного доступа и шифрования файлов. В ходе реагирования компания перевела часть систем в автономный режим, инициировала расследование и привлекла внешних консультантов, в том числе юристов, специалистов по кибербезопасности и криминалистике для локализации, оценки и устранения последствий инцидента. Artivion, Inc. восстановила свои системы в кратчайшие сроки и подготовила все необходимые уведомления. Компания продолжила предоставлять продукцию и услуги клиентам, несмотря на сбои в процессах, связанных с оформлением заказов и доставки, а также в некоторых внутренних операциях, которые в основном были устранены. В отчете отмечено, для Artivion, Inc. сохранились риски, в том числе связанные с последствиями задержек с восстановлением, поэтому компания не может гарантировать отсутствие материального ущерба вследствие атаки в будущем.

Peikko

Производственный сектор | Нарушение операционной деятельности, отказ сервисов, отказ ИТ-систем, утечка персональных данных | Шифровальщики

Финский производитель строительных материалов Peikko столкнулся с кибератакой в конце декабря. В заявлении компании от 30 декабря указывалось, ее сайты, электронная почта и телефоны работали в штатном режиме, равно как программы для дизайна, однако некоторыми инструментами и системами сотрудники пользоваться не могли. На следующий день Peikko проинформировала, что процесс восстановления идет успешно: снова стали доступны инструменты для 3D-моделирования Tekla и совместного проектирования в облаке Tekla Model Sharing. Несмотря на это компания была вынуждена ограничить производство и поставку продукции на нескольких из своих 12 заводов. Кроме того, она признала, что злоумышленникам, вероятно, удалось получить доступ к некоторым данным клиентов и украсть их. 2 января Peikko сообщила, что использует решение для управления процессами предприятия Microsoft Dynamics 365, как и ее зарубежные подразделения в 21 стране. Хотя некоторые функции платформы были недоступны, в целом она везде функционировала корректно. Peikko продолжала производить и отгружать продукцию. Интересно, что некоторые иностранные подразделения компании, использующие более старую ERP-систему, избежали проблем, тогда как другим пришлось временно перейти на ручное управление операциями. 9 января Peikko проинформировала, что ее подразделения возобновили работу в обычном режиме. Компания заявила об инциденте в полицию и другие компетентные органы, включая Национальный центр кибербезопасности Финляндии. На следующий день группировка Akira добавила Peikko в список жертв на сайте утечек данных, утверждая, что было похищено 30 Гб информации.

Newpark

Энергетика, строительство | Нарушение операционной деятельности, отказ ИТ-систем | Шифровальщики

Американский поставщик решений и оборудования для нефтегазовой отрасти Newpark Resources, Inc. 29 октября обнаружил кибератаку вымогателей, в результате которой третьи лица получили доступ к некоторым ИТ-системам. Последствиями атаки стали сбои в работе и ограничение доступа к отдельным компонентам информационных систем и бизнес-приложений, касающихся в частности финансовой и операционной отчетности. Тем не менее, производство и полевые работы продолжались практически в обычном режиме, с соблюдением установленных процедур простоя. Newpark Resources, Inc. сообщила об инциденте в отчете по форме 8-К, поданном в Комиссию по ценным бумагам и биржам США.

VOSSKO

Производственный сектор, пищевая промышленность | Нарушение операционной деятельности, отказ ИТ-систем | Шифровальщики

Немецкий производитель мясных полуфабрикатов VOSSKO стал жертвой целевой кибератаки вымогателей, которая зашифровала информацию во внутренних системах и базах данных. Вредоносное ПО нарушило операционную деятельность, но впоследствии системы и производство были восстановлены. ИТ-отдел компании при активной поддержке внешних специалистов справился с проблемой. В первые дни к расследованию были привлечены полиция, в том числе уголовная, специалисты по информационной безопасности и криминалистике. Ответственность за атаку на VOSSKO взяла на себя группа вымогателей Black Basta. Предполагается, что было зашифровано 800 Гб данных, включая финансовые сведения, личные данные сотрудников и документы, а также проектную документацию.

Ingenieurbüro Fritz Spieth

Строительство и инжиниринг | Нарушение операционной деятельности, отказ ИТ-систем | Шифровальщики

Немецкая инжиниринговая компания Ingenieurbüro Fritz Spieth Beratende Ingenieure GmbH стала жертвой целевой кибератаки. Сразу после ее выявления руководство проинформировало власти и подало жалобу. Одновременно все ИТ-системы были отключены или изолированы для обеспечения безопасности клиентов, поставщиков и сотрудников. Благодаря последовательному выполнению протокола безопасности и плана действий в подобных ситуациях компания вернулась к нормальной работе. Независимые ИТ-эксперты не нашли доказательств заражения сайтов компании и электронной почты. 19 ноября группа вымогателей Safepay включила Ingenieurbüro Fritz Spieth Beratende Ingenieure GmbH в список своих жертв.

Атаки, которые привели к отказу ИТ-систем

Stadtwerke Burg

Энергетика, коммунальные службы | Отказ ИТ-систем, отказ ИТ-сервисов

Немецкая энергосбытовая компания Stadtwerke Burg 29 октября разместила на своем сайте сообщение о том, что с ней снова можно связаться по электронной почте и через онлайн-центр. В рамках мер противодействия кибератаке 22 августа компания отключила доступ ко всем своим ИТ-сервисам и изолировала атакованные системы. Они были тщательно проверены и восстановлены совместными усилиями компании, поставщиков ИТ-услуг и приглашенных экспертов по цифровой криминалистике. В октябре было объявлено, что большинство систем уже возвращены в рабочее состояние, персональные данные защищены, а электроэнергия поставлялась клиентам без перебоев. По итогам инцидента Stadtwerke Burg заявила о планах дальнейшего усиления защиты своих ИТ-систем путем введения более строгих требований к паролям и повышения уровня осведомленности сотрудников относительно рисков, связанных с загрузкой вложений из электронных писем. Согласно заявлению Stadtwerke Burg, сделанному в сентябре, инцидент затронул и остальных участников рынка, например, невозможно было переключиться с другого поставщика энергии на Stadtwerke Burg.

ENGlobal

Энергетика, строительство и инжиниринг | Отказ ИТ-систем

Американская специализированная инжиниринговая компания ENGlobal Corporation, занимающаяся разработкой автоматизированных систем управления для энергетической отрасли, 25 ноября обнаружила инцидент безопасности, а 2 декабря подала соответствующий отчет по форме 8-К в Комиссию по ценным бумагам и биржам США. В ходе предварительного расследования выяснилось, что злоумышленники получили доступ к ИТ-системе компании и зашифровали некоторые файлы. После обнаружения несанкционированного доступа компания незамедлительно приняла меры по локализации, оценке и устранению последствий инцидента, начав внутреннее расследование, пригласив внешних специалистов по кибербезопасности и ограничив доступ к ИТ-системе. Работа системы была ограничена основными бизнес-операциями, а точные сроки полного восстановления на момент подачи отчета оставались неопределенными.

Dewan Farooque Motors Limited

Автомобилестроение, производственный сектор | Отказ ИТ-систем, отмена заседания совета директоров

Пакистанский производитель автомобилей Dewan Farooque Motors Limited подвергся кибератаке, в результате которой были повреждены данные и выведены из строя серверы. Инцидент привел к отмене заседания совета директоров, о чем компания уведомила Пакистанскую фондовую биржу 29 ноября. В сообщении говорится, что заседание отложено до тех пор, пока не будут восстановлены информационная система и финансовые данные за первый квартал, завершившийся 30 сентября 2024 года, а это потребует значительного времени.

Приложение. Полный список подтвержденных инцидентов